Restricciones de las políticas de la organización

Restricciones disponibles

Puedes especificar políticas para que con ellas se usen las siguientes restricciones.

Restricciones compatibles con varios servicios de Google Cloud

Restricción Descripción Prefijos compatibles
Grupos de trabajadores permitidos (Cloud Build) En esta restricción de lista, se define el conjunto de grupos de trabajadores de Cloud Build permitidos para realizar compilaciones mediante Cloud Build. Cuando se aplique esta restricción, las compilaciones deberán desarrollarse en un grupo de trabajadores que coincida con uno de los valores permitidos.
De forma predeterminada, Cloud Build puede usar cualquier grupo de trabajadores.
La lista permitida de grupos de trabajadores debe tener el siguiente formato:
  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/locations/REGION/workerPools/WORKER_POOL_ID


  • constraints/cloudbuild.allowedWorkerPools
"is:", "under:"
Google Cloud Platform - Restricción de ubicación de recursos En esta restricción de lista, se define el conjunto de ubicaciones en las que se pueden crear recursos de GCP basados en la ubicación.
De forma predeterminada, los recursos pueden crearse en cualquier ubicación.
Las políticas para esta restricción pueden especificar multirregiones, como asia y europe, y regiones como us-east1 o europe-west1 como ubicaciones permitidas o denegadas. El permiso o la denegación de una multirregión no implica el permiso o la denegación de todas las sububicaciones incluidas. Por ejemplo, si la política deniega la multirregión us (que hace referencia a recursos multirregionales, como algunos servicios de almacenamiento), los recursos aún se pueden crear en la ubicación regional us-east1. Por otro lado, el grupo in:us-locations contiene todas las ubicaciones dentro de la región us y puede usarse para bloquear todas las regiones.
Te recomendamos usar grupos de valores para definir tu política.
Puedes especificar grupos de valores, es decir, colecciones de ubicaciones que Google selecciona para proporcionar una forma sencilla de definir las ubicaciones de tus recursos. Para utilizar grupos de valores en las políticas de tu organización, usa la string in: como prefijo, seguida del grupo de valores, en las entradas.
Por ejemplo, para crear recursos que solo se encuentren físicamente en EE.UU., configura in:us-locations en la lista de valores permitidos.
Si el campo suggested_value se usa en una política de ubicación, debe ser una región. Si el valor especificado es una región, una IU para un recurso zonal puede prepropagar cualquier zona en esa región.
constraints/gcp.resourceLocations
"is:", "in:"
Restringir los servicios y las API de Google Cloud permitidos En esta restricción de lista, se limita el conjunto de servicios y API que se pueden habilitar en este recurso. De forma predeterminada, se permiten todos los servicios.
La lista de servicios denegados solo puede incluir valores de la lista que se muestra a continuación. Actualmente, no se pueden habilitar API mediante esta restricción. Se producirá un error si se especifica una API que no está en esta lista.
La aplicación de esta restricción no es retroactiva. Si un servicio ya está habilitado en un recurso cuando se aplica esta restricción, este permanecerá habilitado.

constraints/serviceuser.services
"is:"

Restricciones para servicios específicos

Servicios Restricción Descripción Prefijos compatibles
App Engine Inhabilitar descarga de código fuente Inhabilita la descarga de código fuente subido previamente a App Engine.
constraints/appengine.disableCodeDownload
"is:"
BigQuery Inhabilita BigQuery Omni para Cloud AWS Cuando esta restricción booleana se configura como True, impedirá que los usuarios usen BigQuery Omni para procesar datos en Amazon Web Services en los que se aplica esta restricción.
constraints/bigquery.disableBQOmniAWS
"is:"
BigQuery Inhabilita BigQuery Omni para Cloud Azure Cuando esta restricción booleana se configura como True, los usuarios no podrán usar BigQuery Omni para procesar datos en Microsoft Azure en los que se aplique esta restricción.
constraints/bigquery.disableBQOmniAzure
"is:"
Cloud Functions Configuración de entrada permitida (Cloud Functions) En esta restricción de lista, se define la configuración de entrada permitida para la implementación de una función de Cloud Functions. Cuando se aplique esta restricción, se requerirá que la configuración de entrada de las funciones coincida con uno de los valores permitidos.
Según la configuración predeterminada, Cloud Functions puede usar cualquier configuración de entrada.
La configuración de entrada debe especificarse en la lista permitida con los valores de la enumeración IngressSettings.

constraints/cloudfunctions.allowedIngressSettings
"is:"
Cloud Functions Configuración de salida permitida del conector de VPC (Cloud Functions) En esta restricción de lista, se define la configuración de salida del conector de VPC permitida para la implementación de una función de Cloud Functions. Cuando se aplique esta restricción, se requerirá que la configuración de salida del conector de VPC de las funciones coincida con uno de los valores permitidos.
Según la configuración predeterminada, Cloud Functions puede usar cualquier configuración de salida del conector de VPC.
La configuración de salida del conector de VPC debe especificarse en la lista permitida con los valores de la enumeración VpcConnectorEgressSettings.

constraints/cloudfunctions.allowedVpcConnectorEgressSettings
"is:"
Cloud Functions Exigir conector de VPC (Cloud Functions) Esta restricción booleana aplica forzosamente la configuración de un conector de VPC cuando se implementa una función de Cloud Functions. Cuando se aplique esta restricción, se requerirá que se especifique un conector de VPC para las funciones.
Según la configuración predeterminada, no es necesario especificar un conector de VPC para implementar una función de Cloud Functions.

constraints/cloudfunctions.requireVPCConnector
"is:"
Cloud SQL Restricción de la encriptación predeterminada administrada por Google en las instancias de Cloud SQL BETA: Esta restricción booleana, cuando se establece en True, requiere que todas las instancias de Cloud SQL recién creadas, reiniciadas o actualizadas, utilicen claves de encriptación que administra el cliente (CMEK). No es retroactiva, lo que significa que las instancias existentes con encriptación administrada mediante Google no se ven afectadas, a menos que se actualicen.
De forma predeterminada, esta restricción se establece en False y se permite la encriptación administrada mediante Google para las instancias de Cloud SQL.

constraints/sql.disableDefaultEncryptionCreation
"is:"
Cloud SQL Restringir las redes autorizadas en las instancias de Cloud SQL Mediante esta restricción booleana, se restringe la adición de redes autorizadas para el acceso de bases de datos sin proxy a instancias de Cloud SQL en las que esta restricción se establece en True. Esta restricción no es retroactiva: luego de aplicarla, las instancias de Cloud SQL con redes autorizadas existentes aún funcionarán.
De forma predeterminada, las redes autorizadas pueden agregarse a instancias de Cloud SQL.

constraints/sql.restrictAuthorizedNetworks
"is:"
Cloud SQL Restringir el acceso de IP pública en las instancias de Cloud SQL En esta restricción booleana, se limita la configuración de la IP pública para las instancias de Cloud SQL en las que esta restricción se establece en True. Esta restricción no es retroactiva: luego de aplicarla, las instancias de Cloud SQL con un acceso de IP pública existente aún funcionarán.
De forma predeterminada, se admite el acceso de IP pública a las instancias de Cloud SQL.

constraints/sql.restrictPublicIp
"is:"
Compute Engine Inhabilita todo el uso de IPv6 Cuando esta restricción booleana se configura como True, inhabilita la creación de recursos de Google Compute Engine involucrados en el uso de IPv6 o la actualización de estos.
De forma predeterminada, cualquiera con los permisos adecuados de Cloud IAM puede crear o actualizar los recursos de Google Compute Engine con uso de IPv6 en cualquier proyecto, carpeta y organización.
Si se establece, esta restricción tendrá mayor prioridad que otras restricciones de IPv6 de la organización, incluidas disableVpcInternalIpv6, disableVpcExternalIpv6 y disableHybridCloudIpv6.
constraints/compute.disableAllIpv6
"is:"
Compute Engine Inhabilitar metadatos de atributos de invitado de Compute Engine En esta restricción booleana, se inhabilita el acceso mediante la API de Compute Engine a los atributos de invitado de las VM de Compute Engine que pertenecen a la organización, el proyecto o la carpeta en los que esta restricción se establece en True.
De forma predeterminada, la API de Compute Engine se puede usar para acceder a los atributos de invitado de la VM de Compute Engine.

constraints/compute.disableGuestAttributesAccess
"is:"
Compute Engine Inhabilitar grupos de extremos de red de Internet Esta restricción booleana limita si un usuario puede crear grupos de extremos de red (NEG) de Internet con un type de INTERNET_FQDN_PORT y INTERNET_IP_PORT.
De forma predeterminada, cualquier usuario con los permisos de IAM adecuados puede crear NEG de Internet en cualquier proyecto.
constraints/compute.disableInternetNetworkEndpointGroup
"is:"
Compute Engine Inhabilitar la virtualización anidada de VM Mediante esta restricción booleana, se inhabilita la virtualización anidada por aceleración de hardware para todas las VM de Compute Engine que pertenecen a la organización, el proyecto o la carpeta en los que esta restricción se establece en True.
De forma predeterminada, se permite la virtualización anidada por aceleración de hardware para todas las VM de Compute Engine que se ejecutan en Intel Haswell o en plataformas de CPU más recientes.

constraints/compute.disableNestedVirtualization
"is:"
Compute Engine Inhabilitar Private Service Connect para consumidores Esta restricción de lista define el conjunto de tipos de extremos de Private Service Connect para los que los usuarios no pueden crear reglas de reenvío. Cuando se aplique esta restricción, se impedirá a los usuarios crear reglas de reenvío para el tipo de extremo de Private Service Connect. Esta restricción no se aplica de manera retroactiva.
De forma predeterminada, se pueden crear reglas de reenvío para cualquier tipo de extremo de Private Service Connect.
La lista de cuentas de servicio permitidas o denegadas de los extremos de Private Service Connect debe provenir de la siguiente lista:
  • GOOGLE_APIS
  • SERVICE_PRODUCERS
El uso de GOOGLE_APIS en la lista de elementos permitidos o denegados restringirá la creación de reglas de reenvío de Private Service Connect para acceder a las API de Google. El uso de SERVICE_PRODUCERS en la lista de elementos permitidos o denegados restringirá la creación de reglas de reenvío de Private Service Connect para acceder a los servicios en otra red de VPC.
constraints/compute.disablePrivateServiceConnectCreationForConsumers
"is:"
Compute Engine Inhabilitar el acceso al puerto en serie de VM Mediante esta restricción booleana, se inhabilita el acceso del puerto en serie a las VM de Compute Engine que pertenecen a la organización, el proyecto o la carpeta en los que esta restricción se establece en True.
De forma predeterminada, los clientes pueden habilitar el acceso al puerto en serie para las VM de Compute Engine por VM o por proyecto mediante el uso de atributos de metadatos. El cumplimiento de esta restricción permite inhabilitar el acceso al puerto en serie para las VM de Compute Engine, independientemente de los atributos de metadatos.

constraints/compute.disableSerialPortAccess
"is:"
Compute Engine Inhabilitar el registro de puertos en serie de VM en Stackdriver Esta restricción booleana inhabilita los registros de puertos en serie en Stackdriver desde las VM de Compute Engine que pertenecen a la organización, el proyecto o la carpeta donde se aplica esta restricción.
El registro de puertos en serie de las VM de Compute Engine está inhabilitado de forma predeterminada, pero puede habilitarse selectivamente por VM o por proyecto con los atributos de metadatos. Cuando se aplica esta restricción, se inhabilita el registro del puerto en serie para las nuevas VM de Compute Engine cada vez que se crea una y se evita que los usuarios cambien el atributo de metadatos de cualquier VM (antigua o nueva) a True.
constraints/compute.disableSerialPortLogging
"is:"
Compute Engine Inhabilita el uso externo de IPv6 en VPC Cuando esta restricción booleana se configura como True, inhabilita la creación de subredes o su actualización a subredes con un stack_type de IPV4_IPV6 y ipv6_access_type de EXTERNAL.
De forma predeterminada, cualquier persona con los permisos de Cloud IAM adecuados puede crear o actualizar subredes con stack_type de IPV4_IPV6 en cualquier proyecto, carpeta y organización.
constraints/compute.disableVpcExternalIpv6
"is:"
Compute Engine Inhabilita el uso de IPv6 interno de VPC Cuando esta restricción booleana se configura como True, inhabilita la creación de subredes o su actualización a subredes con un stack_type de IPV4_IPV6 y ipv6_access_type de INTERNAL.
De forma predeterminada, cualquier persona con los permisos de Cloud IAM adecuados puede crear o actualizar subredes con stack_type de IPV4_IPV6 en cualquier proyecto, carpeta y organización.
constraints/compute.disableVpcInternalIpv6
"is:"
Compute Engine Requerir Acceso al SO Mediante esta restricción booleana, cuando se establece en true, se habilita el acceso al SO en todos los proyectos recién creados. Todas las instancias de VM creadas en proyectos nuevos tendrán el acceso al SO habilitado. En los proyectos nuevos y existentes, esta limitación impide las actualizaciones de metadatos que inhabilitan el Acceso al SO a nivel del proyecto o de la instancia.
De forma predeterminada, la función de acceso al SO está inhabilitada en los proyectos de Compute Engine.
Las instancias de GKE en clústeres privados que ejecutan las versiones 1.20.5-gke.2000 y posteriores del grupo de nodos admiten el acceso al SO. Por el momento, las instancias de GKE en clústeres públicos no son compatibles con el Acceso al SO. Si esta restricción se aplica a un proyecto que ejecuta clústeres públicos, es posible que las instancias de GKE que se ejecutan en ese proyecto no funcionen correctamente.
constraints/compute.requireOsLogin
"is:"
Compute Engine VM protegidas Cuando esta restricción booleana se establece en True, se requiere que en todas las instancias nuevas de VM de Compute Engine se usen imágenes de disco protegidas con las opciones Inicio seguro, vTPM y Supervisión de integridad habilitadas. El inicio seguro se puede inhabilitar después de la creación, si así lo deseas. Las instancias activas existentes seguirán funcionando normalmente.
De forma predeterminada, no es necesario habilitar las características de VM protegida para crear instancias de VM de Compute Engine. Las funciones de VM protegida agregan integridad y resistencia comprobables ante el robo de datos a tus VM.
constraints/compute.requireShieldedVm
"is:"
Compute Engine Restringir el uso de Cloud NAT Esta restricción de lista define el conjunto de subredes que pueden usar Cloud NAT. De forma predeterminada, todas las subredes pueden usar Cloud NAT. La lista de subredes permitidas o denegadas debe identificarse con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/regions/REGION_NAME/subnetworks/SUBNETWORK_NAME.
constraints/compute.restrictCloudNATUsage
"is:", "under:"
Compute Engine Restricción del uso de interconexión dedicada En esta restricción de lista, se define el conjunto de redes de Compute Engine con el fin de usar la interconexión dedicada. De forma predeterminada, las redes pueden usar cualquier tipo de interconexión. La lista de redes permitidas o denegadas debe identificarse con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/global/networks/NETWORK_NAME.
constraints/compute.restrictDedicatedInterconnectUsage
"is:", "under:"
Compute Engine Restringir la creación de balanceadores de cargas según sus tipos En esta restricción de lista, se define el conjunto de tipos de balanceadores de cargas que pueden crearse para una organización, carpeta o proyecto. Todos los tipos de balanceadores de cargas que se permitan o se denieguen deben estar detallados de forma explícita. De forma predeterminada, se permite crear todos los tipos de balanceadores de cargas.
La lista de valores permitidos o denegados debe identificarse como el nombre de string de un balanceador de cargas y solo puede incluir valores de la lista que aparece a continuación:
  • INTERNAL_TCP_UDP
  • INTERNAL_HTTP_HTTPS
  • EXTERNAL_NETWORK_TCP_UDP
  • EXTERNAL_TCP_PROXY
  • EXTERNAL_SSL_PROXY
  • EXTERNAL_HTTP_HTTPS
  • EXTERNAL_MANAGED_HTTP_HTTPS

Para incluir todos los tipos internos o externos de balanceadores de cargas, usa el prefijo in: seguido de INTERNAL o EXTERNAL. Por ejemplo, si se usa in:INTERNAL, se permitirán todos los tipos de balanceadores de cargas de la lista que incluyan INTERNAL.
constraints/compute.restrictLoadBalancerCreationForTypes
"is:", "in:"
Compute Engine Restringe el procesamiento no confidencial En la lista de denegación de esta restricción, se define el conjunto de servicios que requieren que se creen todos los recursos nuevos con Confidential Computing habilitado. De forma predeterminada, no es necesario que los recursos nuevos usen Confidential Computing. Mientras que esta restricción de lista esté vigente, no se puede inhabilitar Confidential Computing durante el ciclo de vida del recurso. Los recursos existentes seguirán funcionando con normalidad. La lista de servicios denegados debe identificarse como el nombre de string de una API y solo puede incluir valores denegados de forma explícita de la siguiente lista. Por el momento, no se admite el permiso explícito de las API. La denegación explícita de las API que no están en esta lista dará como resultado un error. Lista de API compatibles: [compute.googleapis.com, container.googleapis.com]
constraints/compute.restrictNonConfidentialComputing
"is:"
Compute Engine Restricción del uso de interconexión de socio En esta restricción de lista, se define el conjunto de redes de Compute Engine con las que se puede usar la interconexión de socio. De forma predeterminada, las redes pueden usar cualquier tipo de interconexión. La lista de redes permitidas o denegadas debe identificarse con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/global/networks/NETWORK_NAME.
constraints/compute.restrictPartnerInterconnectUsage
"is:", "under:"
Compute Engine Restringir el reenvío de protocolo en función del tipo de dirección IP En esta restricción de lista, se define el tipo de objetos de regla de reenvío de protocolos con instancia de destino que puede crear un usuario. Cuando se aplique esta restricción, los nuevos objetos de regla de reenvío con instancia de destino se limitarán a direcciones IP internas o externas, según los tipos que se especifiquen. Todos los tipos que se permitan o se denieguen deben estar detallados de forma explícita. De forma predeterminada, se permite la creación de objetos de regla de reenvío de protocolos internos y externos con instancia de destino.
La lista de valores permitidos o denegados solo puede incluir valores de la siguiente lista:
  • INTERNAL
  • EXTERNAL
.
constraints/compute.restrictProtocolForwardingCreationForTypes
"is:"
Compute Engine Restringir los proyectos de host de VPC compartida En esta restricción de lista, se define el conjunto de proyectos de host de VPC compartida a los que pueden adjuntarse los proyectos en este recurso o en un recurso secundario. De forma predeterminada, un proyecto puede adjuntarse a cualquier proyecto de host dentro de la misma organización, lo que lo convierte en un proyecto de servicio. Los proyectos, las carpetas y las organizaciones de las listas de valores permitidos o denegados afectan a todos los objetos situados debajo de ellos en la jerarquía de recursos y deben especificarse con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o projects/PROJECT_ID.
constraints/compute.restrictSharedVpcHostProjects
"is:", "under:"
Compute Engine Restringir las subredes de VPC compartidas Esta restricción de lista define el conjunto de subredes de VPC compartidas que pueden usar los recursos aptos. Esta restricción no se aplica a los recursos dentro del mismo proyecto. De forma predeterminada, los recursos aptos pueden usar cualquier subred de VPC compartida. La lista de subredes permitidas o rechazadas debe especificarse con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK-NAME.
constraints/compute.restrictSharedVpcSubnetworks
"is:", "under:"
Compute Engine Restringir el uso de intercambio de tráfico de VPC En esta restricción de lista, se define el conjunto de redes de VPC mediante el cual se puede intercambiar tráfico con las redes de VPC que pertenecen a este proyecto, carpeta u organización. De forma predeterminada, el administrador de red de una red puede intercambiar tráfico con cualquier otra red. La lista de redes permitidas o denegadas debe identificarse con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/global/networks/NETWORK_NAME.
constraints/compute.restrictVpcPeering
"is:", "under:"
Compute Engine Restringir IP de intercambio de tráfico de VPN Esta restricción de lista define el conjunto de direcciones IP-v4 válidas que pueden configurarse como IP de intercambio de tráfico de VPN. De forma predeterminada, cualquier IP puede ser una IP de intercambio de tráfico de VPN en una red de VPC. La lista de direcciones IP permitidas y denegadas debe especificarse como direcciones IP-v4 válidas con el siguiente formato: IP_V4_ADDRESS.
constraints/compute.restrictVpnPeerIPs
"is:"
Compute Engine Establece la configuración de DNS interno para proyectos nuevos como Solo DNS zonal Cuando se configura como “Verdadero”, los proyectos recién creados usarán DNS zonal como opción predeterminada. De forma predeterminada, esta restricción se establece en “False” y los proyectos recién creados usarán el tipo de DNS predeterminado.
constraints/compute.setNewProjectDefaultToZonalDNSOnly
"is:"
Compute Engine Proyectos de propietario de las reservas compartidas Esta restricción de lista define el conjunto de proyectos que pueden crear y poseer reservas compartidas en la organización. Una reserva compartida es similar a una reserva local, con la excepción de que, en lugar de ser solo consumible por proyectos de propietario, la pueden consumir otros proyectos de Compute Engine en la jerarquía de recursos. La lista de proyectos con permiso para acceder a la reserva compartida debe tener el formato projects/PROJECT_ID o under:projects/PROJECT_ID.
constraints/compute.sharedReservationsOwnerProjects
"is:", "under:"
Compute Engine Omitir creación de red predeterminada En esta restricción booleana, se omite la creación de la red predeterminada y los recursos relacionados durante la creación de recursos del proyecto de Google Cloud Platform, en el que esta restricción se establece en True. En la configuración predeterminada, cuando se crea un recurso de un proyecto automáticamente se crean también una red predeterminada y recursos auxiliares.

constraints/compute.skipDefaultNetworkCreation
"is:"
Compute Engine Restricciones de uso de recursos de almacenamiento de Compute (imágenes, instantáneas y discos de Compute Engine) En esta restricción de lista, se define un conjunto de proyectos con los que se pueden usar los recursos de almacenamiento de Compute Engine. De forma predeterminada, cualquier persona que tenga los permisos adecuados de Cloud IAM puede acceder a los recursos de Compute Engine. Cuando se usa esta restricción, los usuarios deben tener permisos de Cloud IAM y no deben estar limitados por la restricción para acceder al recurso.
Los proyectos, las carpetas y las organizaciones de las listas de valores permitidos o denegados deben especificarse con el siguiente formato: under:projects/PROJECT_ID, under:folders/FOLDER_ID, under:organizations/ORGANIZATION_ID.

constraints/compute.storageResourceUseRestrictions
"is:", "under:"
Compute Engine Definir proyectos de imágenes confiables En esta restricción de lista, se define el conjunto de proyectos que se pueden usar en el almacenamiento de imágenes y la creación de instancias de disco para Compute Engine.
De forma predeterminada, se pueden crear instancias a partir de imágenes en cualquier proyecto que comparta imágenes de manera pública o explícita con el usuario.
La listas de proyectos de publicador permitidos o denegados deben ser strings con el siguiente formato: projects/PROJECT_ID. Si esta restricción está activa, solo se permitirán imágenes de proyectos confiables como fuente de discos de arranque para nuevas instancias.

constraints/compute.trustedImageProjects
"is:"
Compute Engine Restringir el desvío de IP de VM En esta restricción de lista, se define el conjunto de instancias de VM con las que se puede habilitar el desvío de IP. De forma predeterminada, se puede utilizar cualquier VM para habilitar el desvío de IP en cualquier red virtual. Las instancias de VM deben especificarse con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID o projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME. Esta restricción no es retroactiva.
constraints/compute.vmCanIpForward
"is:", "under:"
Compute Engine Definir IP externas permitidas para instancias de VM En esta restricción de lista, se define el conjunto de instancias de VM de Compute Engine con el que se pueden usar direcciones IP externas.
De forma predeterminada, todas las instancias de VM se pueden usar en direcciones IP externas.
La lista de instancias de VM permitidas o denegadas debe identificarse por el nombre de la instancia de VM, con el siguiente formato: projects/PROJECT_ID/zones/ZONE/instances/INSTANCE

constraints/compute.vmExternalIpAccess
"is:"
DataStream Datastream: Bloquea los métodos de conectividad pública De forma predeterminada, se pueden crear perfiles de conexión de Datastream con métodos de conectividad públicos o privados. Si se aplica la restricción booleana para esta política de la organización, solo se pueden usar métodos de conectividad privada (por ejemplo, intercambio de tráfico de VPC) a fin de crear perfiles de conexión.
constraints/datastream.disablePublicConnectivity
"is:"
Contactos esenciales Contactos restringidos del dominio En esta restricción de lista, se define el conjunto de dominios que pueden tener las direcciones de correo electrónico agregadas a los contactos esenciales.
De forma predeterminada, las direcciones de correo electrónico con cualquier dominio pueden agregarse a los contactos esenciales.
La lista de entidades permitidas o denegadas debe especificar uno o más dominios con el formato @example.com. Si esta restricción está activa y se configura con valores permitidos, solo se pueden agregar a los contactos esenciales las direcciones de correo electrónico con un sufijo que coincida con una de las entradas de la lista de dominios permitidos.
Esta restricción no afecta la actualización ni la eliminación de los contactos existentes ,
constraints/essentialcontacts.allowedContactDomains
"is:"
Cloud Healthcare Inhabilitar Cloud Logging Inhabilita Cloud Logging en la organización, el proyecto o la carpeta cuando se aplique esta restricción. Los registros de auditoría no se ven afectados por esta restricción.
Los registros generados antes de que se aplique la restricción no se borran y se puede seguir accediendo a ellos.
Esta restricción solo se admite en la API de Cloud Healthcare.
constraints/gcp.disableCloudLogging
"is:"
Administración de identidades y accesos Permite extender la vida útil de los tokens de acceso de OAuth 2.0 hasta por 12 horas Esta restricción de lista define el conjunto de cuentas de servicio a las que se les pueden otorgar tokens de acceso de OAuth 2.0 con una vida útil de hasta 12 horas. De forma predeterminada, el ciclo de vida máximo de estos tokens de acceso es de 1 hora.
La lista de cuentas de servicio permitidas o rechazadas debe especificar una o más direcciones de correo electrónico de cuentas de servicio.
constraints/iam.allowServiceAccountCredentialLifetimeExtension
"is:"
Identity and Access Management Uso compartido restringido al dominio En esta restricción de lista, se definen uno o más ID de cliente de Cloud Identity o Google Workspace cuyas principales se pueden agregar a las políticas de IAM.
De forma predeterminada, se permite agregar todas las identidades de usuario a las políticas de IAM.
Si esta restricción está activa, solo se pueden agregar a las políticas de IAM los principales que pertenecen a los ID de cliente permitidos.
constraints/iam.allowedPolicyMemberDomains
"is:"
Identity and Access Management Inhabilitar el uso de cuentas de servicio entre proyectos Cuando se aplican, las cuentas de servicio solo se pueden implementar (mediante la función ServiceAccountUser) para trabajos (vms, funciones, etc.) que se ejecutan en el mismo proyecto que la cuenta de servicio.
constraints/iam.disableCrossProjectServiceAccountUsage
"is:"
Identity and Access Management Inhabilita la creación de cuentas de servicio Cuando esta restricción booleana está establecida en "True" (verdadero), se inhabilita la creación de cuentas de servicio.
De forma predeterminada, los usuarios pueden crear cuentas de servicio según sus funciones y permisos de Cloud IAM.

constraints/iam.disableServiceAccountCreation
"is:"
Identity and Access Management Inhabilita la creación de claves de cuentas de servicio Cuando esta restricción booleana está establecida en "True" (verdadero), se inhabilita la creación de claves externas de cuentas de servicio.
De forma predeterminada, los usuarios pueden crear claves externas de cuentas de servicio según sus funciones y permisos de Cloud IAM.

constraints/iam.disableServiceAccountKeyCreation
"is:"
Identity and Access Management Inhabilitar carga de clave de cuenta de servicio Esta restricción booleana inhabilita la función que permite subir claves públicas a la cuenta de servicio, en la que la restricción está establecida en "True" (verdadero).
De forma predeterminada, los usuarios pueden subir claves públicas a la cuenta de servicio según sus funciones y permisos de Cloud IAM.
constraints/iam.disableServiceAccountKeyUpload
"is:"
Identity and Access Management Inhabilitar la creación de clústeres de Workload Identity Si esta restricción booleana se configura como "True" (verdadero), se requiere que Workload Identity esté inhabilitado en todos los clústeres de GKE nuevos en el momento de su creación. Los clústeres de GKE existentes que tengan habilitado Workload Identity funcionarán como de costumbre. Según la configuración predeterminada, Workload Identity se puede habilitar para cualquier clúster de GKE.
constraints/iam.disableWorkloadIdentityClusterCreation
"is:"
Identity and Access Management Cuentas de AWS permitidas que se pueden configurar para la Federación de Workload Identity en Cloud IAM Lista de ID de cuentas de AWS que se pueden configurar para la Federación de Workload Identity en Cloud IAM.
constraints/iam.workloadIdentityPoolAwsAccounts
"is:"
Identity and Access Management Proveedores de identidad externos admitidos para cargas de trabajo en Cloud IAM Los proveedores de identidad que pueden configurarse para la autenticación de cargas de trabajo dentro de Cloud IAM, especificado por URI o URL.
constraints/iam.workloadIdentityPoolProviders
"is:"
Resource Manager Restringir la eliminación de la retención del proyecto de VPC compartida En esta restricción booleana, se limita el conjunto de usuarios mediante el cual se puede quitar un derecho de retención de proyecto de VPC compartida sin el permiso de nivel de organización en la que esta restricción se establece en True.
De forma predeterminada, cualquier usuario con permiso para actualizar retenciones puede quitar una retención de proyecto de VPC compartida. Para aplicar esta restricción, se debe otorgar permiso a nivel de la organización.

constraints/compute.restrictXpnProjectLienRemoval
"is:"
Resource Manager Restringir la eliminación de las retenciones de la cuenta de servicio entre proyectos Cuando se APLICA esta restricción booleana, se impide que los usuarios quiten una retención de cuentas de servicio entre proyectos sin el debido permiso a nivel de la organización. De forma predeterminada, cualquier usuario con permiso para actualizar retenciones puede quitar una retención de cuenta de servicio entre proyectos. Para aplicar esta restricción, se debe otorgar permiso a nivel de la organización.
constraints/iam.restrictCrossProjectServiceAccountLienRemoval
"is:"
Resource Manager Restringe la visibilidad de la búsqueda de recursos Cuando se aplica esta restricción de lista a un recurso de organización, se define el conjunto de recursos de Google Cloud que se muestran en los métodos de lista y búsqueda para los usuarios del dominio de la organización en la que se aplica esta restricción. Esto se puede usar para limitar los recursos visibles en varias partes de Cloud Console, como la página del selector de recursos, de búsqueda y de administración de recursos. Ten en cuenta que esta restricción solo se evalúa a nivel de la organización. Los valores especificados en listas de canales permitidos o de denegación deben tener el formato under:organizations/ORGANIZATION_ID.
constraints/resourcemanager.accessBoundaries
"is:", "under:"
Resource Manager Exige la lista de servicios habilitados permitidos para el traslado entre organizaciones Esta restricción de lista actúa como una marca que permite verificar que un proyecto que tiene un servicio habilitado sea apto para el traslado entre organizaciones. Un recurso con un servicio compatible habilitado debe aplicar esta restricción, y el servicio compatible debe estar incluido en los valores permitidos a fin de ser apto para un traslado entre organizaciones. La lista actual de valores permitidos para los servicios compatibles que se pueden usar es:
  • SHARED_VPC

Esta restricción proporciona un control adicional sobre constraints/resourcemanager.allowedExportDestinations. Esta list_constraint está vacía de forma predeterminada y no bloqueará los traslados entre organizaciones, a menos que se habilite un servicio compatible en el recurso que se exportará. Esta restricción permite un control más preciso sobre los recursos que usan funciones que requieren más precaución cuando se trasladan a otra organización. De forma predeterminada, un recurso con un servicio compatible habilitado no puede trasladarse entre organizaciones.
constraints/resourcemanager.allowEnabledServicesForExport
"is:"
Resource Manager Destinos permitidos para exportar recursos En esta restricción de lista, se define el conjunto de organizaciones externas a las que se pueden trasladar los recursos y se deniegan todos los traslados a las demás organizaciones. De forma predeterminada, los recursos no se pueden trasladar entre organizaciones. Si esta restricción se aplica a un recurso, solo se puede trasladar el recurso a las organizaciones que lo permiten forma explícita. Los traslados dentro de una organización no se rigen por esta restricción. La operación de traslado igual requerirá los mismos permisos de IAM que los traslados de recursos normales. Los valores especificados en listas de canales permitidos o de denegación deben tener el formato under:organizations/ORGANIZATION_ID.
constraints/resourcemanager.allowedExportDestinations
"is:", "under:"
Resource Manager Fuentes permitidas para importar recursos En esta restricción de lista, se define el conjunto de organizaciones externas desde las que se pueden importar los recursos y se deniegan todos los traslados de todas las demás organizaciones. De forma predeterminada, los recursos no se pueden trasladar entre organizaciones. Si esta restricción se aplica a un recurso, la restricción debe permitir de forma explícita los recursos importados directamente en este recurso. Los traslados dentro de una organización no se rigen por esta restricción. La operación de traslado igual requerirá los mismos permisos de IAM que los traslados de recursos normales. Los valores especificados en listas de canales permitidos o de denegación deben tener el formato under:organizations/ORGANIZATION_ID.
constraints/resourcemanager.allowedImportSources
"is:", "under:"
Cloud Run Políticas de autorización binaria permitidas (Cloud Run) Esta restricción de lista define el conjunto de nombres de políticas de autorización binaria que se pueden especificar en un recurso de Cloud Run. De forma predeterminada, los recursos pueden especificar cualquier política de autorización binaria.
Dado que solo existe una política de autorización binaria por proyecto, esta lista de políticas permitidas o rechazadas solo puede usar el valor default.

constraints/run.allowedBinaryAuthorizationPolicies
"is:"
Cloud Run Configuración de entrada permitida (Cloud Run) Esta restricción de lista define la configuración de entrada permitida para los servicios de Cloud Run. Cuando se aplica esta restricción, los servicios deben tener una configuración de entrada que coincida con uno de los valores permitidos. Los servicios existentes de Cloud Run con una configuración de entrada que incumple esta restricción pueden seguir actualizándose hasta que dicha configuración cumpla con esta restricción. Una vez que un servicio cumple con esta restricción, el servicio solo puede usar la configuración de entrada que permite esta restricción.
De forma predeterminada, los servicios de Cloud Run pueden usar cualquier configuración de entrada.
La lista permitida debe contener valores de configuración de entrada admitidos, que son all, internal y internal-and-cloud-load-balancing.

constraints/run.allowedIngress
"is:"
Cloud Run Configuración de salida de VPC permitida (Cloud Run) Esta restricción de lista define la configuración de salida de VPC permitida para las revisiones de un servicio de Cloud Run. Cuando se aplica esta restricción, las revisiones de un servicio deben usar un conector de acceso a VPC sin servidores, y la configuración de salida de VPC de las revisiones debe coincidir con uno de los valores permitidos.
En los servicios existentes, todas las revisiones implementadas recientemente deben cumplir con esta restricción. Los servicios existentes con revisiones que entregan tráfico que incumplen esta restricción pueden seguir migrando tráfico a revisiones que incumplen esta restricción. Una vez que se entregue todo el tráfico de un servicio mediante revisiones que cumplen con esta restricción, las migraciones de tráfico posteriores solo deberán migrar el tráfico a revisiones que cumplan con esta restricción.
De forma predeterminada, las revisiones de Cloud Run pueden establecer la configuración de salida de VPC en cualquier valor admitido.
La lista permitida debe contener valores de configuración de salida de VPC admitidos, que son private-ranges-only y all-traffic.

constraints/run.allowedVPCEgress
"is:"
Administración de consumidores de servicios Inhabilita el otorgamiento automático de IAM para las cuentas de servicio predeterminadas Cuando se aplica esta restricción booleana, se impide que se asignen automáticamente funciones de IAM a las cuentas de servicio predeterminadas de App Engine y Compute Engine que se crean para tus proyectos.
De forma predeterminada, estas cuentas de servicio reciben automáticamente la función de Editor cuando se crean.
constraints/iam.automaticIamGrantsForDefaultServiceAccounts
"is:"
Cloud Storage Google Cloud Platform: modo de registro de auditoría detallado Cuando se aplica el modo de registros de auditoría detallados, se incluyen la solicitud y la respuesta en los registros de auditoría de Cloud. Los cambios de esta función podrían tardar hasta 10 minutos en mostrarse. Se recomienda usar esta política de la organización con el bloqueo de bucket cuando quiera garantizarse el cumplimiento de reglas como SEC Rule 17a-4(f), CFTC Rule 1.31(c)-(d) y FINRA Rule 4511(c). Actualmente esta política solo se admite en Google Cloud Storage.
constraints/gcp.detailedAuditLoggingMode
"is:"
Cloud Storage Aplica la prevención del acceso público VISTA PREVIA: Aplica medidas de prevención de acceso público para proteger los datos de Cloud Storage de la exposición pública. Esta política de administración evita que se acceda a los recursos existentes y futuros a través de la Internet pública mediante la inhabilitación y el bloqueo de los permisos de IAM y LCA que otorgan acceso a allUsers y allAuthenticatedUsers. Aplique esta política en toda la organización (recomendado) o en proyectos o carpetas específicos a fin de asegurarse de que los datos no estén expuestos de forma pública.
Esta política anula los permisos públicos existentes. Se revocará el acceso público a los buckets y objetos existentes después de que se habilite esta política.
constraints/storage.publicAccessPrevention
"is:"
Cloud Storage Duración de la política de retención en segundos En esta restricción de lista, se define el conjunto de duraciones de las políticas de retención que se pueden configurar en los bucket s de Cloud Storage.
De forma predeterminada, si no se especifica ninguna política de la organización, un bucket de Cloud Storage puede tener una política de retención de cualquier duración.
La lista de duraciones permitidas debe especificarse como un valor de número entero mayor que cero, el cual representa la política de retención en segundos.
Las operaciones de inserción, actualización o aplicación de parches que se realicen en un bucket del recurso de organización deben tener una duración de política de retención que coincida con la restricción.
Su aplicación forzosa no es retroactiva: cuando se aplique una nueva política de la organización, no habrá cambios en la política de retención de los bucket s existentes y esta seguirá siendo válida.

constraints/storage.retentionPolicySeconds
"is:"
Cloud Storage Aplicar acceso uniforme a nivel de bucket En esta restricción booleana, se requiere que los depósitos usen un nivel de depósito uniforme en el que esta restricción se configure en True. Cualquier bucket nuevo en el recurso de organización debe tener habilitado el acceso uniforme a nivel de bucket y no se puede inhabilitar mediante ningún bucket existente en este recurso.
La aplicación de esta restricción no es retroactiva. El acceso uniforme a nivel de depósito seguirá inhabilitado en los depósitos existentes que estén configurados de esa forma. El valor predeterminado para esta restricción es False.
Con el acceso uniforme a nivel de depósito, se inhabilita la evaluación de las LCA asignadas a los objetos de Cloud Storage almacenados en el depósito. En consecuencia, solo mediante las políticas de IAM se otorga acceso a los objetos de estos depósitos.

constraints/storage.uniformBucketLevelAccess
"is:"

Guías prácticas

Para obtener más información sobre cómo usar restricciones individuales, haz lo siguiente:

Restricción Guía práctica
constraints/cloudfunctions.allowedIngressSettings Usa los Controles del servicio de VPC
constraints/cloudfunctions.allowedVpcConnectorEgressSettings Usa los Controles del servicio de VPC
cloudfunctions.requireVPCConnector Usa los Controles del servicio de VPC
constraints/compute.restrictCloudNATUsage Restringir el uso de Cloud NAT
constraints/compute.restrictLoadBalancerCreationForTypes Restricciones de Cloud Load Balancing
constraints/compute.restrictProtocolForwardingCreationForTypes Restricciones de reenvío de protocolos
constraints/compute.restrictDedicatedInterconnectUsage
constraints/compute.restrictPartnerInterconnectUsage
Restringe el uso de Cloud Interconnect
constraints/compute.restrictVpnPeerIPs Restringir direcciones IP de intercambio de tráfico a través de un túnel de Cloud VPN
constraints/compute.trustedImageProjects Restringe el acceso a las imágenes
constraints/compute.vmExternalIpAccess Inhabilita el acceso de IP externa para VM
constraints/iam.allowedPolicyMemberDomains Restringe identidades por dominio
constraints/iam.allowServiceAccountCredentialLifetimeExtension Extiende la vida útil de los tokens de acceso de OAuth 2.0
constraints/iam.disableCrossProjectServiceAccountUsage Conecta una cuenta de servicio a un recurso en un proyecto diferente
constraints/iam.disableServiceAccountCreation Restringe la creación de cuentas de servicio
constraints/iam.disableServiceAccountKeyCreation Restringe la creación de claves de cuenta de servicio
constraints/iam.disableServiceAccountKeyUpload Restringe la carga de claves de cuentas de servicio
constraints/iam.disableWorkloadIdentityClusterCreation Restringe la creación de clústeres de Workload Identity
constraints/iam.restrictCrossProjectServiceAccountLienRemoval Conecta una cuenta de servicio a un recurso en un proyecto diferente
constraints/gcp.detailedAuditLoggingMode
constraints/storage.retentionPolicySeconds
constraints/storage.uniformBucketLevelAccess
constraints/storage.publicAccessPrevention
Restricciones de la política de la organización para Cloud Storage
constraints/gcp.disableCloudLogging Inhabilita Cloud Logging
constraints/gcp.resourceLocations Restringe las ubicaciones de recursos
constraints/compute.restrictCloudNATUsage Restricciones de las políticas de la organización para Cloud NAT
constraints/resourcemanager.accessBoundaries Restricción de la visibilidad del proyecto para los usuarios
constraints/run.allowedIngress Usa los Controles del servicio de VPC
constraints/run.allowedVPCEgress Usa los Controles del servicio de VPC

Más información

Para obtener más información sobre los conceptos centrales de la política de la organización, haz lo siguiente: